Game

游戏服务器战斗结算校验流水线：从结果上报到可信发奖

针对战斗结束后的结果上报、校验、积分计算和奖励发放，拆解一套可信结算流水线，覆盖实时战斗、弱联网副本、重试幂等和异常人工复核。

Leeting Yan 2021-04-26 11 分钟阅读 5267 字

问题背景

战斗结束后，客户端想尽快看到胜负和奖励，服务器则必须确认结果可信。尤其是弱联网副本、移动网络断线、客户端参与计算的玩法，结算链路如果只接收一个 win=true，就等于把奖励入口交给了不可信环境。可信结算不是所有战斗都全量回放，而是按风险分层，让大多数正常对局快速结算，让可疑对局进入更重的校验。

战斗结算流水线可以分成结果接收、格式校验、上下文校验、轻量规则校验、风险评分、奖励计划、发奖事务和审计归档。每一步都有明确输入输出，失败后能重试或人工处理。

这篇文章不讨论某个具体商业项目的私有实现，而是把我在设计类似系统时会坚持的边界、数据模型、失败处理和排查手段整理出来。你可以把它当作一份架构评审前的检查清单：如果一个方案回答不了这些问题，上线后大概率会在并发、灰度、客服申诉或数据分析里付出成本。

架构总览

flowchart TD
  Report["战斗结果上报"] --> Schema["格式与签名校验"]
  Schema --> Context["对局上下文校验"]
  Context --> Rule["战斗规则校验"]
  Rule --> Risk["风险评分"]
  Risk --> Decision{"快速结算/延迟复核/拒绝"}
  Decision --> Plan["奖励计划"]
  Plan --> Grant["幂等发奖"]
  Decision --> Review["人工或离线复核"]
  Grant --> Archive[("结算审计归档")]

这张图只画主链路。实际落地时，旁路通常还包括配置发布、灰度实验、审计归档、风控抽样和客服查询。主链路越清楚，旁路越容易补齐；主链路如果已经把状态揉在一起，后面所有“临时需求”都会变成直接改库或复制逻辑。

1. 结算输入要完整

一个结算请求至少包含 battle_id、player_id、participants、start_at、end_at、result、score、damage_summary、important_events_hash、client_build、request_id。对于服务端权威战斗，结果来自战斗服；对于弱联网副本，客户端上报需要附带服务端下发的战斗票据和关键事件摘要。字段越少，后面越难判断异常。

在工程实现上，我会要求这一层有明确的输入、输出和错误码。输入不要偷偷依赖调用方的内存状态，输出也不要只给一个成功失败。游戏服务器的很多事故不是算法不会写，而是某个边界没有被产品、客户端、服务端和运营共同看见。只要边界被写进协议和日志，后续扩展就有抓手。

落地时还要注意灰度。任何影响玩家资产、战斗公平或社交关系的逻辑，都不应该全服一次性切换。可以先影子计算，再小流量启用，最后扩大范围。影子计算期间不改变玩家结果，只记录新旧逻辑差异；差异超过阈值时先修规则，不要急着发布。

2. 上下文校验先于规则校验

先确认这场战斗是否存在、玩家是否属于参与者、战斗是否已经开始、是否已结算、当前请求是否重复。很多作弊不需要复杂规则就能拦住，例如伪造 battle_id、用别人的战斗票据、结束时间早于开始时间。上下文校验失败直接拒绝，不进入奖励计算。

3. 轻量规则校验

不是每局都需要完整回放，但可以做便宜的规则检查：战斗时长是否低于理论最短时间，伤害是否超过装备上限，技能释放次数是否超过冷却允许，掉线次数是否异常，怪物血量变化是否能闭合。轻量校验的目标不是证明百分百正确，而是筛出明显不可信结果。

4. 风险评分分层

风险评分可以综合玩家历史、设备信誉、战斗模式、奖励价值、校验异常数量。低风险低价值副本可以快速结算；高价值掉落或排位晋级局可以延迟几秒做更重校验；极高风险进入人工或离线复核。这样系统不会因为少数可疑战斗拖慢所有玩家，也不会让高价值入口无防护。

5. 奖励计划先生成后发放

结算服务不要边算边发。先生成 settlement_plan，包含胜负、积分变化、奖励列表、任务推进、排行事件、风险标签和配置版本。发奖服务按 plan_id 幂等执行。若发奖失败，可以重试同一个 plan，不重新计算随机奖励。这样避免重试导致奖励变化。

6. 重复上报与断线

战斗结束时客户端可能连续上报多次，战斗服也可能补发结果。battle_id + participant_id 或 plan_id 要作为唯一键。第一次成功后，后续请求返回已结算结果。对于多人战斗，不能因为一个客户端没上报就卡住所有人，权威结果应来自战斗服或多数可信来源，客户端上报只作为补充。

7. 异常处理

可疑结果不一定立刻封号。可以先延迟发放高价值奖励，给玩家展示“结算确认中”。离线复核通过后补发，失败则给出规则化原因。人工复核界面需要展示战斗摘要、异常指标、历史行为和回放入口。不要让客服只看到一堆日志行。

8. 归档与回放

结算归档要保存上下文、输入摘要、校验结果、奖励计划、发奖流水和风险评分版本。后续平衡性分析、作弊追查、玩家申诉都依赖这些数据。对于高价值玩法，可以保存关键帧或事件流，低价值玩法保存 hash 和摘要即可。存储成本要按玩法价值分层。

关键数据模型建议

对象	建议字段	设计理由
业务上下文	player_id、server_id、request_id、source、client_build	支持幂等、追踪和客户端版本差异处理。
状态记录	status、version、updated_at、policy_version	让并发更新可控，也能解释当时使用的规则。
审计流水	before、after、decision、reason、operator、trace_id	客服和风控需要还原现场，而不是只看最终结果。
配置引用	config_id、config_hash、effective_at、gray_rule	配置热更新后仍能回放历史行为。

表结构不一定照抄，但这些字段背后的意图要保留。很多团队上线初期为了省字段，只存当前值；等到玩家申诉或活动回滚时，才发现没有办法回答“为什么会这样”。补日志永远只能记录未来，无法修复已经丢失的上下文。

并发与幂等

游戏服务器的并发通常不是数据库 TPS 数字那么简单，而是同一个玩家、同一个公会、同一个房间、同一个活动实例在多个入口被同时修改。移动端重试、网关断线重连、后台补偿脚本、客服工具、活动定时任务都会制造并发。

我的基本原则是：凡是会改变玩家权益或长期状态的命令，都必须有业务幂等键；凡是会覆盖状态的写入，都必须带版本条件；凡是可以从事件重建的派生数据，都不要和主状态互相覆盖。幂等键最好来自业务单号，而不是简单使用 HTTP 请求 ID，因为客户端重试时请求 ID 可能变化。

如果需要跨服务协作，优先把流程拆成“生成计划”和“执行计划”。计划一旦生成就不可变，后续重试只执行同一个计划。奖励、积分、权限变更、外观快照、检查点推进都适合这个模式。它牺牲了一点存储空间，换来的是可重试、可审计和可回放。

可观测性与排查

这类系统上线后，最有价值的监控不是平均延迟，而是状态偏差和规则拒绝。建议至少准备以下指标：

命令成功率、幂等命中率、版本冲突率。
按策略版本拆分的拒绝原因分布。
状态值越界、缺失配置、历史版本读取失败次数。
影子计算的新旧结果差异。
客服查询中最常见的申诉类型。

日志要能串起一次完整请求：网关 trace、业务 request_id、状态版本、配置版本、审计流水 ID。不要只在异常时打日志，因为很多线上争议在程序看来是“正常拒绝”。正常拒绝同样要有结构化原因，否则客服只能告诉玩家“系统判定如此”。

降级策略

降级要按业务价值排序。读展示可以短暂使用缓存，资产写入宁可失败也不要模糊成功；世界广播可以丢弃低优先级消息，私聊和结算结果需要补偿；配置服务慢了可以使用已验证的本地版本，但不能使用未知版本继续发高价值奖励。

一个实用的降级表可以包含：依赖服务、超时时间、失败后的用户提示、是否允许重试、是否写入待处理队列、是否触发告警。这样值班同学看到告警时知道系统已经采取了什么动作，而不是临时读代码。

架构评审清单

这个系统的权威状态在哪里，派生状态在哪里？
任意写操作是否有 request_id 或业务单号做幂等？
配置热更新时，已经开始的流程使用旧版本还是新版本？
玩家断线、重连、跨服、切设备后，状态如何恢复？
客服能否看到操作前后、规则版本和拒绝原因？
如果依赖服务超时，哪些请求允许降级，哪些必须失败？
数据分析能否区分真实行为、补偿行为、跳过行为和灰度行为？

这份清单看起来偏保守，但游戏服务器的长期维护成本通常来自“当时没记录”。只要系统把上下文、版本和决策写清楚，后续做活动、合服、回滚、申诉处理都会轻很多。

小结

这类系统战斗结算校验流水线：从结果上报到可信发奖的难点，不在于把第一条链路跑通，而在于让它在真实玩家、真实网络和真实运营节奏里仍然可解释。架构设计要避免把规则藏在某个入口，也要避免把所有职责塞进一个万能服务。

更稳的做法是：主状态收敛，规则版本化，命令幂等，结果可审计，异常可降级。这样即使后续玩法复杂度上升，团队也能围绕清晰边界演进，而不是靠不断补丁维持表面稳定。

继续阅读

探索更多技术文章

浏览归档，发现更多关于系统设计、工具链和工程实践的内容。

全部文章返回首页